Atenuando os riscos cibernéticos da IoT e encontrando soluções

A última década testemunhou um desenvolvimento sem precedentes do cenário da Internet das Coisas (IoT), possibilitado por novas tecnologias de rede distribuída. McKinsey estima que até 2025, o mundo terá 50 bilhões de dispositivos em rede, um aumento de 400% em relação a 2010, e contribuirá com US $ 11 trilhões (€ 10 trilhões) para as economias.

Embora essa proliferação de dispositivos IoT nos últimos anos tenha criado oportunidades interessantes para empresas, governos e consumidores individuais, ela criou novos riscos que exigem mitigação. Com o rápido desenvolvimento e implementação de tecnologias de IoT, ameaças e ataques são uma preocupação clara para os indivíduos e também para as organizações em todo o mundo.

Andrea Gaglione, especialista em IoT e líder de tecnologia da Brit Insurance , examina os riscos potenciais da IoT e de seu colega , O subscritor cibernético Ben Maidment identifica as etapas que os usuários, desenvolvedores e seguradoras podem realizar para se protegerem deles.

Quais são os riscos?

Crucialmente, a compreensão dos riscos e potenciais vulnerabilidades cibernéticas associadas à IoT ainda está evoluindo - e para implementar medidas de mitigação e soluções, esses riscos potenciais devem ser identificados. Infelizmente, em muitos casos, está cada vez mais claro que esses pontos fracos são identificados apenas após a ocorrência de uma violação ou ataque cibernético.

• Perda de dados

A segurança e as ameaças cibernéticas crescem exponencialmente de acordo com o tamanho da "superfície de ataque" potencial e dos pontos de entrada da rede, algo a que os sistemas de IoT são particularmente suscetíveis. Dados recentes mostram que 26,66 bilhões de dispositivos IoT estavam ativos em 2019 e 127 novos dispositivos estão sendo conectados à Internet a cada segundo.

À medida que isso aumenta, o principal desafio é o gerenciamento e a proteção de todos os dados que os dispositivos IoT capturam, usam e transmitem, especialmente à luz das recentes violações de dados de alto perfil e das multas punitivas associadas ao regulamento GDPR (Regras Gerais de Proteção de Dados) . Uma preocupação primária, como acontece com a maioria dos riscos cibernéticos, é a perda ou comprometimento de dados, especialmente dados de clientes e pessoais. Exemplos de dispositivos IoT que coletam grandes quantidades de dados pessoais que podem ser particularmente vulneráveis ​​incluem wearables inteligentes que monitoram, coletam e transmitem dados de saúde.

• Perturbação e interrupção de negócios

À medida que as cadeias de suprimentos e os processos de negócios dependem cada vez mais de dispositivos em rede para obter maior eficiência, as empresas correm mais risco de ataques. A interrupção significativa dos negócios, por meio de dispositivos sendo colocados off-line por um hack, pode resultar em uma perda significativa de receita em curto prazo, bem como reputação e confiança em longo prazo.

Além de explorar a vulnerabilidade do dispositivo IoT para entrar em uma rede, os malfeitores também podem utilizar uma série de dispositivos IoT inseguros para desviar dados e lançar ataques de negação de serviço distribuída (DDoS). Em 2016, malfeitores comprometeram mais de 25.000 gravadores de vídeo digital e câmeras CCTV, desviando seus dados para lançar um ataque DDoS que derrubou os servidores de Dyn , um importante provedor de DNS dos EUA, que causou interrupções na Internet nos EUA e na Europa, derrubando sites de alto perfil, como Twitter, Netflix, GitHub e Reddit .

• Ciberfísico

Por fim, um risco emergente de IoT (e, na verdade, cibernético de forma mais ampla) é o de ciberfísico, em que um ciberataque pode resultar em danos físicos. Isso pode variar de dispositivos médicos em rede, como marca-passos, a carros autônomos ou processos industriais caros. Um hack mal-intencionado desses dispositivos, assumindo o controle dessas atividades, pode resultar em danos físicos dispendiosos e potencialmente perigosos ou em perigo de vida. Por exemplo, no ano passado, a US Food and Drug Administration emitiu um alerta avisando que algumas bombas de insulina são vulneráveis ​​a hackers, que poderiam obter acesso remoto e potencialmente alterar as configurações da bomba.

Como podemos mitigar o risco?

• Segurança e privacidade desde o design

Até agora, para os fabricantes de IoT, houve um meio-termo entre a velocidade de lançamento de um produto no mercado e a robustez e segurança do sistema. Como vimos com a primeira onda de IoT, a segurança não foi considerada um requisito prioritário, no entanto, vimos um foco crescente na privacidade após violações de dados de alto perfil e novas regulamentações de dados.

Em nossa opinião, a segurança deve ser primordial no projeto de novos dispositivos IoT, e medidas contínuas devem ser postas em prática para manter e melhorar a segurança de dispositivos novos e existentes.

• Práticas recomendadas de segurança cibernética

Os próprios usuários, sejam indivíduos, empresas ou o setor público, têm a responsabilidade de adotar as melhores práticas quando se trata de perigos cibernéticos, e conscientização e educação são essenciais. As organizações precisam equilibrar o desejo de conectividade e eficiência que as tecnologias de IoT oferecem, com os riscos que essa conectividade cria, principalmente devido à falta de ênfase na segurança no desenvolvimento de tais produtos.

Da mesma forma que gerenciam um sistema operacional tradicional, os indivíduos devem desempenhar um papel ativo na definição da política da empresa sobre IoT e ser responsáveis ​​e atualizados sobre as ameaças que seus negócios enfrentam. Muitas dessas medidas se tornaram uma segunda natureza na TI tradicional, mas estão lentamente sendo adotadas e consideradas quando se considera os dispositivos IoT.

As etapas simples que os usuários podem realizar para reduzir o risco (e limitar a responsabilidade no caso de um incidente cibernético) incluem:usar senhas e chaves de segurança fortes, atualizadas regularmente; dispositivos de monitoramento e sistemas para detectar e responder a eventos de segurança, e; atualizar continuamente a segurança dos dispositivos com o download de patches de software dos fabricantes.

Quais soluções o seguro oferece?

As seguradoras têm um papel crucial na mitigação desses riscos por meio de educar as empresas para minimizar os riscos e fornecer suporte financeiro e outros, caso os dispositivos de IoT sejam comprometidos e resultem em interrupção dos negócios, danos físicos ou roubo de dados.

As apólices de seguro cibernético podem cobrir os custos financeiros e de reputação de terceiros e de terceiros se os dados ou sistemas forem roubados, danificados ou comprometidos. A cobertura de primeira parte inclui o custo de investigação e recuperação de um crime cibernético, desde a perda de receita decorrente de uma interrupção de negócios, reabilitação e gerenciamento de reputação até pagamentos de extorsão pagos a hackers. A cobertura de terceiros inclui danos e acordos e o custo de defesa legal contra multas resultantes de uma violação.

As melhores formas de seguro cibernético não são apenas um produto, mas um serviço que ajuda a impulsionar as empresas no caminho da conformidade e minimizar sua exposição ao risco. Um número crescente de seguradoras - incluindo a Brit - oferece uma série de serviços pré-incidente cibernético como parte de suas políticas:os clientes podem ter acesso a portais online que incluem procedimentos e planos que podem ser implementados para reduzir riscos, material de planejamento de resposta a incidentes e verificação listas de prontidão.

Os autores são Andrea Gaglione, líder de tecnologia e Ben Maidment, subscritor de classe cibernética da Brit Insurance.